جوجل تصلح ثغرة خصوصية عمرها 20 عامًا في متصفح Chrome كانت تفضح سجل التصفح

أعلنت جوجل عن حل جذري لإحدى أقدم مشكلات الخصوصية في متصفح Google Chrome، والتي استمرت لأكثر من 20 عامًا. المشكلة كانت تتعلق بكيفية تمييز المتصفح للروابط التي تم النقر عليها مسبقًا عبر خاصية :visited، والتي تتيح للمواقع تغيير لون الروابط التي سبق للمستخدم زيارتها، ما قد يتيح للجهات الخبيثة التعرف على سجل التصفح للمستخدم.

ما هي المشكلة بالضبط؟

عند زيارة أي رابط، يقوم المتصفح بتغيير لونه تلقائيًا (غالبًا إلى اللون البنفسجي بدلًا من الأزرق) للإشارة إلى أنه تمت زيارته. تكمن الثغرة في أن المواقع الأخرى تستطيع قراءة هذا التغيير في اللون باستخدام بعض السكريبتات الذكية، وبالتالي كشف المواقع التي زارها المستخدم سابقًا — بغض النظر عن مصدر الرابط.

هذا النوع من التتبع لا يمثل مجرد تهديد نظري، بل استُخدم في عدة أنواع من الهجمات، مثل:

• هجمات التوقيت (Timing Attacks)
• هجمات البكسل (Pixel-based Attacks)
• هجمات تفاعلية (User Interaction Attacks)
• هجمات على مستوى العمليات (Process-level Attacks)

حل جوجل الجديد في Chrome 136

بدءًا من الإصدار القادم Chrome 136، ستعتمد جوجل تقنية “تقسيم ثلاثي المفاتيح (Triple-Key Partitioning)” لتخزين معلومات الروابط التي تم زيارتها. ستعتمد هذه التقنية على:

1. رابط الوجهة (URL)
2. الموقع العلوي (Top-Level Site)
3. أصل الإطار (Frame Origin)

وهذا يعني أن الرابط سيظهر كمُزار فقط إذا تم عرضه ضمن نفس الموقع ونفس الإطار الذي نُقر عليه سابقًا، ما يمنع المواقع الأخرى من الوصول إلى سجل تصفح المستخدم.

استثناء “الروابط الذاتية”

لتجنب التأثير على تجربة المستخدم، أضافت جوجل استثناءً خاصًا للروابط داخل نفس الموقع (Self-Links)، بحيث تبقى هذه الروابط تظهر كمُزارة حتى لو تم النقر عليها من موقع آخر. هذا لا يُعتبر تسريبًا للخصوصية، نظرًا لأن الموقع يعرف بالفعل ما زاره المستخدم ضمن صفحاته.

لماذا لم تلغِ جوجل خاصية :visited تمامًا؟

أوضحت جوجل أن إلغاء خاصية :visited بالكامل سيؤثر سلبًا على تجربة المستخدم، كونها تقدم دلالة بصرية مهمة. كما تم استبعاد فكرة الاعتماد على نظام صلاحيات لأنها سهلة التخطي وقد تُساء استخدامها من بعض المواقع.

كيف تفعّل الميزة الآن؟

الميزة الجديدة متاحة تجريبيًا من إصدار Chrome 132 وحتى Chrome 135، ويمكن تفعيلها يدويًا عبر:

chrome://flags/#partition-visited-link-database-with-self-links

ثم اختيار Enabled.

لكن لاحظ أن الميزة لا تزال تجريبية، وقد لا تعمل دائمًا بالشكل المتوقع.

ماذا عن المتصفحات الأخرى؟

• Firefox: يحد من إمكانية الوصول إلى الأنماط المطبقة على :visited ويمنع جافاسكربت من قراءتها، لكن لا يطبق نظام التقسيم، مما يبقي بعض المخاطر قائمة.
• Safari: يستخدم وسائل حماية خصوصية قوية مثل Intelligent Tracking Prevention، لكن لا يطبق كذلك تقسيمًا يمنع جميع أنواع الهجمات.

مقالات ذات صلة:

• كيف يستغل المحتالون ثغرة في حماية iMessage لخداع المستخدمين
• سامسونج تحل مشاكل معالج Exynos 2500 قبل إطلاق سلسلة Galaxy S25—لكن هل فات الأوان؟
• جوجل تُطلق “Gemini مع التخصيص” – ذكاء اصطناعي يعتمد على سجل البحث لتحسين الإجابات!
• سيتيح لك جوجل كروم قريبًا حذف آخر 15 دقيقة من سجل التصفح على أندرويد
• إطلاق سماعات CMF Buds Pro 2: جودة صوت عالية وتقنية متقدمة بسعر مناسب